Kontroll 6.6 i ISO 27002:2022 dekker organisasjoners behov for å forhindre lekkasje av konfidensiell informasjon ved å etablere konfidensialitetsavtaler med interesserte parter og personell.
Organisasjoner bør bestemme vilkårene i avtalene sine med andre parter basert på organisasjonens krav til informasjonssikkerhet, tatt i betraktning typen informasjon som skal håndteres, klassifiseringsnivået, tiltenkt bruk og tillatt tilgang av den andre parten.
En konfidensialitets- eller taushetserklæring (NDA) er et juridisk dokument som forhindrer frigivelse av forretningshemmeligheter og annen konfidensiell informasjon.
Konfidensiell informasjon kan omfatte selskapets forretningsplan, økonomiske data, kundelister og annen proprietær informasjon. Disse avtalene kan brukes i en lang rekke situasjoner, inkludert:
Partnerskap inkluderer ofte konfidensialitetsklausuler som en del av partnerskapsavtalen deres, slik at hver partner godtar å ikke avsløre noen konfidensiell informasjon innhentet under partnerskapet.
Konfidensialitetsavtaler inngås av både privatpersoner og bedrifter. De har mange formål, for eksempel:
Kontroller klassifiseres ved hjelp av attributter. Ved å bruke disse kan du raskt matche kontrollutvalget ditt med ofte brukte bransjetermer og spesifikasjoner.
Attributter for kontroll 6.5 er:
| Kontrolltype | Informasjonssikkerhetsegenskaper | Konsepter for cybersikkerhet | Operasjonelle evner | Sikkerhetsdomener |
|---|---|---|---|---|
| #Forebyggende | #Konfidensialitet #Integritet #Tilgjengelighet | #Beskytte | # Asset Management #Informasjonsbeskyttelse #Fysisk sikkerhet #System- og nettverkssikkerhet | #Beskyttelse |
Kontroll 6.6 bør implementeres for å sikre informasjonssikkerheten når personell, partnere og leverandører jobber med en organisasjon.
Denne kontrollen er ment å ivareta organisasjonens informasjon og å informere underskrivere om deres ansvar å håndtere og beskytte informasjon på en ansvarlig og autorisert måte. Det brukes også som et verktøy for å beskytte immaterielle rettigheter, som patenter, varemerker, forretningshemmeligheter og opphavsrettigheter.
Det er viktig for arbeidsgivere å ha en taushetserklæring på plass før de avslører konfidensiell informasjon til en ansatt eller entreprenør. Avtalen vil angi hvor nøye den enkelte skal ta vare på opplysningene de blir utsatt for og hvor lenge taushetsplikten skal løpe etter at arbeidsforholdet er avsluttet.
Kontroll 6.6 tar sikte på å beskytte organisasjonens intellektuelle eiendom og forretningsinteresser ved å forhindre avsløring av sensitiv informasjon til tredjeparter. Den refererer til en juridisk kontrakt eller en ordning mellom organisasjonen din og dens ansatte, partnere, kontraktører, leverandører og andre tredjeparter som styrer bruken av konfidensiell informasjon.
Konfidensiell informasjon er all informasjon som ikke er gjort tilgjengelig for allmennheten eller andre selskaper i tilsvarende bransje. Eksempler inkluderer forretningshemmeligheter, kundelister, formler og forretningsplaner.
Kontrollen bør iverksettes ved vurdering av om en tredjepart vil ha tilgang til sensitive personopplysninger, og om det må tas skritt for å sikre at de ikke beholder og fortsetter å få tilgang til organisasjonens sensitive personopplysninger etter avreise.
Når en organisasjon fastslår at en tredjepart går ut av forretningsforholdet, og det er en risiko for at sensitive organisasjons- eller selskapsdata kan bli avslørt som et resultat, må organisasjonen ta rimelige skritt før denne tredjeparten forlater, eller så snart som mulig etter at de har dratt, for å forhindre slik avsløring.
Jeg vil absolutt anbefale ISMS.online, det gjør oppsett og administrasjon av ISMS så enkelt som det kan bli.
Kontroll 6.6 innebærer at avtalepartene ikke utleverer konfidensiell informasjon som omfattes av avtalen. Opplysningene kan bare utleveres med skriftlig samtykke fra organisasjonen eller i henhold til rettskjennelse. Dette er viktig for å beskytte sensitiv informasjon om forretningspraksis, åndsverk og forskning og utvikling.
For å oppfylle kravene i kontroll 6.6, må en "konfidensialitet" og "hemmelighetserklæring"-avtale/kontrakt utformes nøye slik at den dekker alle forretningshemmeligheter og sensitive data/informasjonsaspekter ved organisasjonens handler og transaksjoner. Det er viktig at begge parter forstår sine forpliktelser i henhold til kontrakten og plikter under og etter avsluttet forretningsforhold.
En konfidensialitetsklausul kan også inkluderes i andre kontrakter som strekker seg utover slutten av arbeidstakerens ansettelse eller tredjeparts engasjement.
Det er avgjørende at personen som forlater et forretningsforhold eller skifter jobb får overført sine sikkerhetsansvar og plikter til en ny person, og all tilgangslegitimasjon slettet og en ny opprettet.
Følgende elementer bør vurderes når du identifiserer konfidensialitets- og taushetserklæringer:
Organisasjonen bør sikre at avtaler om konfidensialitet og taushetsplikt er i samsvar med lovene i jurisdiksjonen der de gjelder.
En gjennomgang av avtaler om konfidensialitet og taushetsplikt bør skje med jevne mellomrom og når endringer påvirker kravene deres.
Mer informasjon om hvordan dette fungerer er tilgjengelig i standarddokumentet ISO 27002:2022.
Bestill en skreddersydd hands-on økt
basert på dine behov og mål
Bestill demoen din
Kontroll 6.6 i den nye ISO 27002:2022 er ikke en ny kontroll, snarere er det en modifisert versjon av kontroll 13.2.4 i ISO 27002:2013.
Selv om disse to kontrollene inneholder lignende funksjoner, er de litt forskjellige. For eksempel, mens implementeringsveiledningen i begge versjonene er like, er de ikke identiske.
Den første del av implementeringsveiledningen i kontroll 13.2.4 i ISO 27002:2013 sier at:
"Konfidensialitet eller taushetserklæring bør ta opp kravet om å beskytte konfidensiell informasjon ved å bruke juridisk håndhevbare vilkår. Konfidensialitet eller taushetserklæring gjelder for eksterne parter eller ansatte i organisasjonen. Elementer bør velges eller legges til under hensyntagen til typen til den andre parten og dens tillatte tilgang eller håndtering av konfidensiell informasjon."
Den samme delen i kontroll 6.6 i ISO 27002:2022 sier at:
"Konfidensialitet eller taushetserklæring bør ta opp kravet om å beskytte konfidensiell informasjon ved å bruke juridisk håndhevbare vilkår. Konfidensialitet eller taushetserklæring gjelder for interesserte parter og personell i organisasjonen.
Basert på en organisasjons krav til informasjonssikkerhet, bør vilkårene i avtalene fastsettes ved å ta hensyn til typen informasjon som skal håndteres, klassifiseringsnivået, bruken og den tillatte tilgangen for den andre parten.»
Begge kontrollene, selv om de er forskjellige i semantisk betydning, har lignende struktur og funksjon i sine respektive kontekster. Kontroll 6.6 bruker imidlertid et mer forenklet og brukervennlig språk slik at innholdet og konteksten blir lettere å forstå. Dette betyr at de som skal bruke standarden lettere kan forholde seg til innholdet.
I tillegg inkluderer 2022-versjonen av ISO 27002 formåls- og attributttabeller for hver kontroll, som hjelper brukere å forstå og implementere kontrollene mer effektivt. Disse to delene er ikke tilgjengelige i 2013-utgaven.
I henhold til kontroll 6.6 i ISO 27002-standarden, administrerer personalavdelingen vanligvis utformingen og implementeringen av konfidensialitets- eller taushetserklæringen i de fleste organisasjoner, som innebærer samarbeid med den overvåkende lederen eller avdelingen til den berørte tredjeparten.
Tilsynsansvarlig kan være informasjonssikkerhetsansvarlig, salgs- eller produksjonssjef.
Disse avdelingene og lederne er også ansvarlige for å sikre at eventuelle tredjepartsleverandører som brukes av organisasjonen har tilstrekkelige sikkerhetstiltak på plass for å beskytte konfidensiell informasjon mot uautorisert avsløring eller bruk.
De bør sørge for at alle ansatte signerer en konfidensialitetsavtale når de begynner å jobbe for selskapet.
I de fleste tilfeller (avhengig av hvor stor organisasjonen er), undertegnes avtaler om konfidensialitet eller taushetsplikt av alle ansatte som har tilgang til konfidensiell informasjon.
Dette inkluderer vanligvis alle ansatte som jobber i salg, markedsføring, kundeservice eller andre avdelinger der de kan komme i kontakt med konfidensiell informasjon om kunder, kunder eller leverandører.
I noen tilfeller, selv om det ikke er en faktisk skriftlig avtale mellom to parter, bør organisasjoner ha retningslinjer på plass som krever at ansatte signerer en konfidensialitetsavtale før de får tilgang til sensitiv informasjon om kunder eller leverandører.
Noen risikoer forbundet med å ikke ha en tilstrekkelig konfidensialitetsavtale på plass inkluderer:
ISO 27002:2013-standarden har ikke blitt vesentlig endret. Standarden ble kun oppdatert for å lette brukervennligheten. Organisasjoner som for øyeblikket er i samsvar med ISO 27002:2013 trenger ikke å ta noen ekstra skritt for å opprettholde samsvar med standarden.
For å overholde revisjonene i ISO 27002:2022, kan organisasjonen finne det nødvendig å gjøre noen mindre endringer i eksisterende prosesser og prosedyrer, spesielt hvis det er behov for å re-sertifisere.
For å lære mer om hvordan disse endringene for kontroll 6.6 vil påvirke organisasjonen din, se veiledningen vår om ISO 27002:2022.
ISO 27002 er en anerkjent standard for informasjonssikkerhet som gir et sett med krav til en organisasjon for å beskytte konfidensialiteten, integriteten og tilgjengeligheten til informasjonen. Standarden er utviklet av International Organization for Standardization (ISO), en ikke-statlig organisasjon som setter, gjennomgår og publiserer internasjonale standarder.
ISMS.Online hjelper organisasjoner og virksomheter med å oppfylle kravene i ISO 27002 ved å gi dem en plattform som gjør det enkelt å administrere retningslinjer og prosedyrer for konfidensialitet eller taushetsplikt, oppdatere dem etter behov, teste dem og overvåke effektiviteten.
Vi tilbyr en skybasert plattform for styring av styringssystemer for konfidensialitet og informasjonssikkerhet, inkludert klausuler om taushetsplikt, risikostyring, retningslinjer, planer og prosedyrer, på ett sentralt sted. Plattformen er enkel å bruke og har et intuitivt grensesnitt som gjør det enkelt å lære å bruke.
ISMS.Online lar deg:
ISMS.Online tilbyr en hele spekteret av funksjoner for å hjelpe organisasjoner og virksomheter med å oppnå samsvar med industristandarden ISO 27001 og/eller ISO 27002 ISMS.
Ta kontakt med oss i dag for å planlegg en demonstrasjon.
Vi gir deg et forsprang på 81 %
fra det øyeblikket du logger inn
Bestill demoen din
| ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 Kontrollidentifikator | Kontrollnavn |
|---|---|---|
| 5.7 | Ny | Trusselintelligens |
| 5.23 | Ny | Informasjonssikkerhet for bruk av skytjenester |
| 5.30 | Ny | IKT-beredskap for forretningskontinuitet |
| 7.4 | Ny | Fysisk sikkerhetsovervåking |
| 8.9 | Ny | Konfigurasjonsstyring |
| 8.10 | Ny | Sletting av informasjon |
| 8.11 | Ny | Datamaskering |
| 8.12 | Ny | Forebygging av datalekkasje |
| 8.16 | Ny | Overvåking av aktiviteter |
| 8.23 | Ny | Web-filtrering |
| 8.28 | Ny | Sikker koding |
| ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 Kontrollidentifikator | Kontrollnavn |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Vilkår og betingelser for ansettelsen |
| 6.3 | 07.2.2 | Informasjonssikkerhetsbevissthet, utdanning og opplæring |
| 6.4 | 07.2.3 | Disiplinær prosess |
| 6.5 | 07.3.1 | Ansvar etter oppsigelse eller endring av arbeidsforhold |
| 6.6 | 13.2.4 | Avtaler om konfidensialitet eller taushetsplikt |
| 6.7 | 06.2.2 | Fjernarbeid |
| 6.8 | 16.1.2, 16.1.3 | Informasjonssikkerhet hendelsesrapportering |
| ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 Kontrollidentifikator | Kontrollnavn |
|---|---|---|
| 7.1 | 11.1.1 | Fysiske sikkerhetsomkretser |
| 7.2 | 11.1.2, 11.1.6 | Fysisk inngang |
| 7.3 | 11.1.3 | Sikring av kontorer, rom og fasiliteter |
| 7.4 | Ny | Fysisk sikkerhetsovervåking |
| 7.5 | 11.1.4 | Beskyttelse mot fysiske og miljømessige trusler |
| 7.6 | 11.1.5 | Arbeid i sikre områder |
| 7.7 | 11.2.9 | Oversiktlig skrivebord og oversiktlig skjerm |
| 7.8 | 11.2.1 | Utstyrsplassering og beskyttelse |
| 7.9 | 11.2.6 | Sikkerhet av eiendeler utenfor lokaler |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagringsmedier |
| 7.11 | 11.2.2 | Støtteverktøy |
| 7.12 | 11.2.3 | Kablingssikkerhet |
| 7.13 | 11.2.4 | Vedlikehold av utstyr |
| 7.14 | 11.2.7 | Sikker avhending eller gjenbruk av utstyr |
Siden migreringen har vi vært i stand til å redusere tiden brukt på administrasjon.
